حماية نقطة نهاية API
كيف يمكنك حماية خدمات API من حركة المرور الآلية، إذا كانت جميع حركة المرور التي تصل إلى نقطة نهاية API مؤتمتة؟ هنا يمكن أن تساعد قوة منصة VerifiedVisitors AI/ML لإدارة الزوار!
يواجه العديد من موفري API مشكلة كبيرة في حركة المرور غير الصالحة (IVT) التي تجمع باستمرار بيانات خدمات API الخاصة بهم. تؤدي المستويات العالية من IVT على واجهات برمجة التطبيقات إلى مجموعة من المشكلات. تعمل الروبوتات الآلية بشكل منهجي على تطوير محتوى واجهة برمجة التطبيقات الخاص بها، وتجريد كل المحتوى ونشره في تطبيقات أخرى، دون الاعتماد عليك أو الاستفادة منك، كمورد المحتوى. غالبًا ما تؤدي عمليات «المزج» غير المشروعة هذه إلى إثراء البيانات المستزرعة بمصادر البيانات الأخرى التي يتم تجميعها أيضًا، مما يؤدي إلى عرض smorgasboard أكثر ثراءً وتنوعًا من خدمة مالكي المحتوى الشرعيين، دون أي تكاليف مرتبطة.
غالبًا ما تسبب هذه الروبوتات ضغطًا على عبء خدمة API بسبب الحجم الكبير للطلبات. بدلاً من مجرد الاستعلام عن مجموعة من النتائج، تستعلم هذه الروبوتات بشكل منهجي عن مجموعة البيانات بأكملها، وقد تعمل على فترات دورية على مدار اليوم.
من الأمثلة الجيدة على هذا النوع من الروبوتات الآلية أدوات كاشطات الأسعار لمنصات التجارة الإلكترونية. غالبًا ما يبحث المستهلكون عن أفضل الأسعار - خاصة بالنسبة للسلع البيضاء - حيث لا يوجد تمييز واضح بين الموردين أو مستويات الخدمة. غالبًا ما تقلل مواقع التجارة الإلكترونية المتنافسة سعر الوحدة للعنصر، ولكنها تزيد من رسوم الشحن ضد منافسيها، حتى يتمكنوا من المطالبة بأرخص سعر رئيسي، ولكن مع زيادة الهامش عن طريق تغطية تكاليف الشحن. تبحث الروبوتات الآلية بشكل منهجي عن كل سعر لكل منطقة بريدية فريدة - مما يؤدي إلى استعلام واسع عبر قاعدة بيانات تكلفة الشحن بأكملها.
لا تعمل الأدوات الحالية لحماية نقطة النهاية.
لمنع حركة المرور الآلية على مواقع الويب، تتمثل إحدى التقنيات الشائعة في استخدام علامة JavaScript التي تطلب من متصفح المستخدم إجراء عملية حسابية صغيرة وإرجاع إثبات العمل (PoW). بشكل أساسي، يؤدي استخدام PoW إلى تصفية حركة المرور القادمة من المتصفحات غير الكاملة. هناك طريقة أخرى تتمثل في استخدام بصمة رقمية، مرة أخرى في شكل JavaScript الذي يستجوب العميل ويكتشف مجموعة واسعة من الأجهزة والتفاصيل الأخرى حول وحدة معالجة العميل.
لا تعمل هذه الطرق لحماية نقطة نهاية API نظرًا لأن حركة المرور على واجهات برمجة التطبيقات هذه مؤتمتة بالكامل، وليس من المنطقي البحث عن متصفح ووحدة المعالجة المركزية المرتبطة به وعميل الهاتف المحمول وما إلى ذلك، فكل شيء يصل إلى نقطة نهاية API هو حركة مرور تلقائية ولن يتم التقاط إثبات العمل/بصمة الإصبع للمستخدمين الشرعيين.
نظرًا لعدم وجود أي أدوات، تتمثل إحدى الطرق العامة في تحديد معدل الوصول إلى واجهة برمجة التطبيقات بأكملها. على الرغم من أن هذا يساعد على تخفيف فترات الذروة التشغيلية التي يمكن أن تسبب انقطاع الخادم أو مشاكل الصيانة، بالإضافة إلى زيادة تكاليف النطاق الترددي/الاستضافة، إلا أن هذه الطريقة لها عيوب واضحة. يتم تقييد مستويات الخدمة للمشتركين الشرعيين، الذين غالبًا ما يشكلون الغالبية العظمى من قاعدة الاستخدام. تمتص الروبوتات غير الشرعية كل الموارد المتبقية والنطاق الترددي.
منصة الذكاء الاصطناعي السلوكية الفريدة للزوار الذين تم التحقق منهم.
VerifiedVisitors لديها نهج فريد لحماية واجهة برمجة التطبيقات. نحن نفحص طلبات API الواردة، ونستخدم منصة ML الخاصة بنا للكشف إساءة استخدام واجهة برمجة التطبيقات من سلوك الزيارات وحدها. على الرغم من وجود القليل جدًا من البيانات التي يجب الاستمرار فيها، فقد اتضح أنها بالتأكيد كافية لاكتشاف هجمات API. لا يقوم المستخدم الشرعي باستخراج قاعدة البيانات بشكل منهجي والسعي لإخفاء أصولها. الأشرار يفعلون ذلك!
